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(54) Umgekehrte Maskierung fuer die Zugreifbarkeit auf Datenendstationen in privaten IPv4- 
Netzen 



(57) Die Erfindung bezieht sich auf ein Verfahren 
zum Verbinden von Hosts (CH, MH) eines ersten und 
eines zweiten paketorientierten Kommunikationsnet- 
zes, wobei die Kommunikationsnetze uber zumindest 
eine Schnittstelle (AR) miteinander verb un den sind. 

Zweck ist das Ermoglichen eines direkten Zugriffs 
eines externen Host (CH) des ersten Kommunikations- 
netzes auf einen internen Host (PH; MH) mit nicht 
offentlicher interner Adresse des zweiten, privaten 
Kommunikationsnetzes. 

Dazu wird insbesondere vorgeschiagen, da(3 ein 
verbindungssuchender Host (CH) des ersten Kommuni- 



kationsnetzes bei einem Namensserver (NS) nach 
einer Zugangs-Knoten-Adresse des privaten Netzes 
fragt, woraufhin der Namensserver diesem Zugangs- 
Knoten (AR) die Adresse des externen Host und des 
angeforderten internen Host (MH) zum dortigen Zwi- 
schenspeichern mitteilt. Beim spateren Eintreffen einer 
Nachricht des externen Hast (CH) beim Zugangs-Kno- 
ten (AR) tauscht dieser vor dem Weiterleiten seine Ziel- 
adresse gegen die interne Adresse des internen Host 
(MH) aus. 
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Beschreibung 

[0001] Die Erfindung bezieht sich auf Verfahren 
zum Verbinden von Einrichtungen verschiedener Netze, 
insbesondere zum Verbinden von Datenendstationen 5 
(nachfolgend „Hosts w genannt) eines Netzes gemaB 
den oberbegriff lichen Merkmalen des Patentanspruchs 
1 bzw. ein Kommunikationssystem zum Durchfuhren 
des Verfahrens. 

[0002] Aufgrund des Fen lens von IPv4-Adressen 10 
(IPv4: I nternet-Protoko livers ion 4) verwenden einige 
Sub- Netze eine private Adressierung fur deren Hosts. 
Insbesondere bei zellularen Netzen wird eine private 
Adressierung sehr wichtig, da es Millionen von Daten- 
endstationen gibt, die uber IPv4-Adressen zu adressie- 15 
ren sind. Private IPv4-Adressen mussen und konnen 
nicht auBerhalb des privaten Netzes erscheinen und 
werden daher durch die offentliche IPv4-Adresse des 
Zugangs-Knotens des privaten Netzes dargestelit, falls 
eine Verbindung mit Hosts auBerhalb des privaten Net- 20 
zes einzurichten ist. Normalerweise ist es nicht moglich, 
diese Hosts von auBerhalb des privaten Netzes aus zu 
verbinden, und zwar auf Grund von deren nicht-offentli- 
cher Adresse. 

[0003] Beim Internet, bei dem das sogenannte 25 
Internet-Protokoll (IP) zur Steuerung der Datenkommu- 
nikation zwischen verschiedenen Datenendgeraten ver- 
wendet wird, werden Informationen in sogenannte 
..Datagramme" unterteilt. Jedes Datagramm wird dann 
mit einem Kopf ausgestattet, der dessen Quell- und 30 
Zieladressen enthalt. Aufgrund dieser AdreBinformation 
werden die Daten durch das paketorientierte Netz, ins- 
besondere Internet, zum Ziel gefuhrt. Das Internet-Pro- 
tokoll ist standardisiert und wird derzeit in der 
sogenannten I nternetprotkoll version 4 (IPv4) verwen- 
det. 

[0004] Die dabei verwendeten IPv4-Adressen 
bestehen aus 32 Bit, die in Gruppen aus vier sogenann- 
ten Oktetts organisiert sind. Ubiicherweise werden sie 
als Dezimalzahlen dargestelit, wobei jedes Oktett zu 
einer ein- bis dreistelligen Dezimalzahl umgewandelt 
wird, wobei diese durch jeweils einen Punkt getrennt 
sind. Ubliche Beispiele dafur sind: 
1 92.1 6.3.3, 1 99.99.1 25.1 6 Oder 38.2.1 31 .1 . 
[0005] Die Adressen sind in AdreBklassen organi- 
siert, die Netz- und Host-Teile trennen. Urn die Flexibili- 
ty zu bieten, die zur Unterstutzung verschieden groBer 
Netze erforderlich ist, wurde der IP-AdreBraum in drei 
verschiedene AdreBklassen eingeteilt, namlich Klasse 
A, Klasse B und Kiasse C. Jede Klasse legt den Rand- 
bereich zwischen dem Netzprafix und der Host-Num- 
mer bei einem bestimmten Punkt innerhaib der 32-Bit- 
Adresse fest Die Formate der grund lege nden AdreB- 
klassen sind in Fig. 1 verdeutlicht. 
[0006] Aufgrund dieser Unterteilung in Netz-Klas- 
sen werden nicht alle 2 32 (=4.294.967.296) IPv4-Adres- 
sen verwendet, da die Adressen nicht in jedem Netz 
effizient belegt werden. Jedoch ist beim derzeit starken 
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Wachstum des Internets zu erwarten, daB die Anzahl 
der verfiigbaren IPv4-Adressen in absehbarer Zeit nicht 
mehr ausreichen konnte. Fig. 2 zeigt eine Abbildung der 
belegten Netznummern der verschiedenen Klassen. 
Bislang wurde eine Vielzahl verschiedener Vorschlage 
gemacht, den Mangel von IPv4-Adressen zu beseiti- 
gen, z.B. klassenloses Inter-Domain-Routing, dynami- 
sches IP-Adressieren, die Verwendung eines privaten 
AdreBraums Oder der Entwurf eines vollstandig neuen 
Internet-Protokolls (IPv6). Nachfolgend wird die Ver- 
wendung von einem privatem AdreBraum weiter eror- 
tert. 

[0007] Die Organisation zur Zuweisung von Inter- 
netadressen bzw. Internet-Nummern (IANA: Internet 
Assigned Numbers Authority) hat einen bestimmten IP- 
AdreBraum fur private Anwendungen reserviert. Jede 
Firm a oder private Organisation kann Adressen aus 
diesen AdreBraumen fur deren Anwendungen verwen- 
den, ohne dies irgendeiner Organisation oder Autoritat 
anzuzeigen. Jedoch sind private Adressen fur die Ver- 
wendung innerhaib privater Netze streng begrenzt und 
durfen auBerdem auBerhalb der privaten Netze nicht 
erscheinen. Derzeit sind die folgenden drei Blocke des 
IP-AdreBraums fur private Netze belegt: 10.0.0.0- 
1 0.255.255.255, 1 72. 1 6.0.0-1 72.31 .255.255 und 
192.168.0.0-192.168.255.255. Der erste Block ist eine 
einzeine Netznummer der Klasse A, der zweite Block ist 
ein Satz aus sechzehn folgenden Netznummern der 
Klasse B und der dritte Block ist ein Satz aus 256 fol- 
genden Netznummern der Klasse C. 
[0008] Da diese Adressen stets nur innerhaib priva- 
ter Netze verbleiben, konnen sie in irgendwelchen pri- 
vaten Netzen uber das gesamte Internet hinweg 
mehrfach verwendet werden. Daher kann eine viel gro- 
Bere Anzahl von Hosts innerhaib deren privater Netze 
uber IP kommunizieren, als offentliche IPv4-Adressen 
entsprechend dem AdreBraum zugewiesen werden 
konnen. 

[0009] Bei der Verwendung privater Netze findet 
eine IP-Maskierung statt. Private Netze konnen mit 
offentlichen IP-Netzen, wie dem Internet, uber einen 
Zugangs-Knoten verbunden werden, der dann eine 
offentliche Adresse des offiziellen IPv4- AdreBraums 
erhalten muB. 

[0010] Falls ein privater Host PH, wie dies in Fig.3 
skizziert ist, IP-Pakete zu einem kommunizierenden 
externen Host CH auBerhalb des privaten Netzes ver- 
senden mochte, andert der Zugangs-Knoten AR eines 
solchen Netzes die Quelladresse src der IP-Pakete von 
der privaten Adresse des privaten Hosts PH zu seiner 
eigenen offentlichen IP-Adresse. Der korrespondie- 
rende Host CH kann dann auf die hereinkommenden 
IP-Pakete antworten und Antwortpakete zur Ziel- 
adresse dst des Zugangs-Knotens AR als der Zugangs- 
Knoten-Adresse zurucksenden, da diese in das Quel- 
ladreBfeld src hereinkommender Pakete geschrieben 
ist. Der Zugangs-Knoten AR weiB, daB der private Host 
PH mit dem korrespondierenden externen Host CH 
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kommuniziert und modifiziert daher die IP-Pakete, die 
von dem korrespondierenden Host CH hereinkommen, 
andert die Zieladresse dst von seiner eigenen zu der 
des privaten Hosts PH und liefert diese zum privaten 
Host PH. Dieser Mechanismus wird als IP-Maskierung 5 
bezeichnet und funktioniert bei Verbindungen, die durch 
einen Host PH innerhalb eines privaten Netzes nach 
auBen hih eingerichtet werden. 

[0011] Die IP-Maskierung funktioniert jedoch ledig- 
iich bei Verbindungen, die durch Hosts PH eingeleitet w 
werden, die innerhalb eines privaten Netzes sitzen. 
Damit kbnnen externe korrespondierende Hosts CH mit 
offentlichen IP-Adressen, die irgendwo in einem offent- 
lichen IP-Netz wie dem Internet sitzen, nicht mit irgend- 
einem Host PH innerhalb eines privaten Netzes 15 
verbunden werden, da die privaten Hosts PH keine gul- 
tige offentliche IP-Adresse haben. Selbst wenn der kor- 
respondierende Host CH seine IP-Pakete zu dem 
Zugangs-Knoten AR des privaten Netzes hin adres- 
siert, in dem der private Host PH sitzt, wurden diese 20 
nicht direkt zu dem privaten Host PH geliefert, da der 
Zugangs-Knoten AR nicht wuBte, zu welchem der priva- 
ten Hosts PH, fur die er verantwortlich ist, er die gelie- 
ferten IP-Pakete weiterzuleiten hatte. 

[001 2] Die Aufgabe der Erf indung besteht darin, die 25 
Zugriffe zwischen korrespondierenden externen Hosts 
auf irgendeinen Host innerhalb eines privaten Netzes 
zu ermoglichen, insbesondere eine Verbesserung des 
Zugangs-Knotens und einer weiteren IP-Netzeinheit 
zum Bereitstellen eines Mechanismus vorzuschlagen, 30 
der korrespondierende externe Hosts mit irgendeinem 
Host innerhalb eines privaten Netzes verbindet. 
[0013] Diese Aufgabe wird durch ein Verfahren zum 
Verbinden von Einrichtungen verschiedener Netze mit 
den Merkmalen des Patentanspruchs 1 bzw. ein Kom- 35 
munikationssystem mit den Merkmalen des Anspruchs 
1 8 gelost. 

[0014] Durch dieses Verfahren bzw. das Kommuni- 
kationssystem kann ein Host eine direkte Verbindung 
mit einem anderen Host aufbauen, der sich innerhalb 40 
eines anderen, insbesondere privaten Netzes befindet. 
[0015] Vorteilhafte Ausgestaltungen sind Gegen- 
stand von abhangigen Anspruchen. 
[0016] Vorzugsweise ist die Schnittstelle ein 
Zugangs-Knoten des zweiten Kommunikationsnetzes, 45 
uber den der interne Host angefordert wird. Der 
Zugangs-Knoten ist vorteilhafterweise mit einer Tabelle 
zum zugeordneten Eintragen der Adresse des verbin- 
dungssuchenden externen Hosts des ersten Kommuni- 
kationsnetzes und der von diesem gerufenen internen so 
Adresse des internen Hosts des zweiten Kommunikati- 
onsnetzes ausgestattet. Insbesondere durch den 
zustandigen Namensserver konnen diese beiden 
Adressen beim Zugangs-Knoten angemeldet werden 
und vorzugsweise nur zeitweilig abgespeichert werden. 55 
[0017] Zur Vermeidung von Fehlverbindungen Oder 
uber eine langere Zeit nicht genutzten Eintragen in der 
Tabelle kann die Anmeldung der Verbindung und damit 



der Adressen durch den Namensserver bis zu einer 
Bestatigung durch den Zugangs-Knoten wiederholt 
bzw. nach einer voreinstellbaren Zeit ohne Aktivitaten 
zwischen den Einrichtungen dort wieder geloscht wer- 
den. 

[0018] Der Zugangs-Knoten tauscht beim Eintref- 
fen eines Datenpakets vom externen Host seine Ziel- 
adresse gegen die Zieladresse des internen Host aus, 
wie dies in ahniicher Art und Weise beim fur sich 
bekannten Aufbau einer Verbindung vom internen Host 
an einen externen Host mit offentlicher Adresse 
geschieht. Dadurch ist das Verfahren entfernt mit einem 
umgekehrten Maskierungsverfahren vergleichbar. Das 
Zurucksenden einer Bestatigung nach dem Eintreffen 
eines Datenpakets vom externen Host beim internen 
Host kann vorzugsweise in bekannter Art und Weise 
erfolgen. 

[0019] Das Anfragen des externen Hosts bei einem 
Namensserver vor dem Verbindungsaufbau nach der 
Adresse eines privaten Hosts im zweiten Kommunikati- 
onsnetz ermoglicht dem Namensserver, vorbereitende 
Informationen an den Zugangs-Knoten zu senden. In 
dem Namensserver ist dazu zu dem bekannten Namen 
des angefragten privaten Hosts jeweils genau eine ent- 
sprechende Adresse des Zugangs-Knotens des zwei- 
ten Kommunikationsnetzes eingetragen oder durch 
diesen bestimmbar. 

[0020] Verschiedene Sicherheitseinrichtungen kon- 
nen bereitgesteilt werden. So ermoglicht eine Sicher- 
heitstabelle die Freigabe des Zugriffs zum Schutz der 
Daten vor unbefugtem Zugriff nur fur registrierte 
externe Stationen. Das Zurucksenden einer Zuruckwei- 
sungs-Nachricht zum externen Host, falls IP-Pakete 
beim Zugangs-Knoten empfangen werden, zu denen es 
keinen Datenbank- bzw. Tabelle neintrag gibt, stellt hin- 
gegen einen moglichst ressourcenschonenden Betrieb 
ohne vergebliche wiederholte Anfragen sicher. 
[0021] Insbesondere ist auch eine Umsetzung auf 
paketortentierte Funk-Kommunikationssysteme Oder 
Dienste von diesen moglich, so daf3 die Gefahr vermie- 
den wird, daR der bestehende AdreBvorrat im beste- 
henden IntemetadreBsystem nicht ausreicht. 
[0022] Ein Ausfuhrungsbeispiel wird nachfolgend 
anhand der Zeichnung naher erlautert. Es zeigen: 

Fig. 1 ein Beispiel einer bekannten klassenorien- 

tierten IPv4-Adressierung, 
Fig. 2 eine bekannte Belegung von Netznummern 

fur verschiedene Klassen, 
Fig. 3 eine bekannte IP-Maskierung, 
Fig. 4 eine DNS-Namensauflosung, 
Fig. 5 einen umgekehrten Maskierungsmechanis- 

mus, 

Fig. 6 eine funktionelle Ubersicht fur eine umge- 

kehrte Maskierung, 
Fig. 7 eine Zugangs-Knoten-Benachrichtigung, 
Fig. 8 ein Beispiel einer Zugangs-Knoten-Daten- 

bank, 
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Fig. 9 das Vorwartsleiten von Paketen durch 

umgekehrtes Maskieren, 
Fig. 10 ein Beispiel einer erweiterten DNS- 

Namensserver-Datenbank fur ein Netz 

132.23.X.X und 
Fig. 11 ein Beispiel fur eine umgekehrte Maskie- 

rung fur eine Verbindungsaufnahme zu 

einem mobilen Host in einem zellularen 

Netz. 

[0023] Anhand von Fig.4 wird die Festlegung eines 
Namens dargestellt. Fur die menschliche Anwendung 
ist die Adressierung in lP-Netzen vereinfacht worden. 
Da Computer mit ^punktierten" Dezimaladressen, wie 
beispielsweise 10.1.2.3 arbeiten, Menschen jedoch 
alphabetische Namen, beispielsweise Mein- 
Host.Domain.org besser handhaben konnen, wurde ein 
Verfahren fur die Umwandlung von Hostnamen zu Host- 
adressen eingefuhrt. Diese Funktion wird als Domain- 
Name-Service (DNS) bezeichnet. 
[0024] Falls ein Host Ha IP-Pakete zu einem ande- 
ren Host Hb senden mochte, fragt er den zustandigen 
DNS-Server bzw. DNS-Namensserver NS nach der 
geeigneten IP-Adresse fur den gewunschten Hostna- 
men, wie dies in Fig.4 dargestellt ist. Dies kann jedes- 
mal durchgefuhrt werden, wenn Hosts eine Verbindung 
einrichten mochte n. Nach einer gewissen Zeit wird 
diese Information in der Regel geloscht, so daB die 
Frage beim Einrichten einer neuen Verbindung wieder- 
holt werden muB. 

[0025] Aufgrund dieses Namens-Festlegungsver- 
fahrens und aufgrund derTatsache, daB Hosts Ha den 
Namen des Hosts Hb in eine IP-Adresse auflosen mus- 
sen, bevorsie IP-Pakete versenden konnen, besteht die 
Moglichkeit die Funktionalitat eines DNS-Namensser- 
vers NS zu verbessern, um eine Nachricht zu dem 
Zugangs-Knoten AR, z.B. einem Zugangs-Router, zu 
senden, der fur den gefragten lost Hb verantwortlich ist. 
Entsprechend wird auch die Funktionalitat des 
Zugangs-Knotens AR verbessert, um ein umgekehrtes 
Maskierungsverfahren unterstutzen zu konnen. 
[0026] Das nachfolgend erorterte und in Fig. 5 dar- 
gestellte Ausfuhrungsbeispiel ist fur eine einzige Ver- 
bindung von einem korrespondierenden Host CH zu 
hochstens einem privaten Host PH pro Netz, ins- 
besondere pro privatem IP-Netz moglich. Dies dient 
jedoch lediglich zur Vereinfachung des dargestellten 
Ausfuhrungsbeispiels. Eine Erweiterung auf die Kom- 
munikation zwischen einer Vielzahl von Hosts und kor- 
respondierender Hosts ist durch entsprechende 
Ubertragung der nachfolgend dargelegten Grundge- 
danken und Vergabe weiterer Namen moglich. 
[0027] Ein Uberblick fur das Verfahren ist in Fig. 5 
dargestellt. In einem ersten Schritt fragt ein korrespon- 
dierender Host CH, der auBerhalb des privaten Netzes 
liegt, nach der IP-Adresse des privaten Hosts PH inner- 
halb des privaten Netzes durch das Anfragen beim 
Namensserver NS mit dem Hostnamen des privaten 



Hosts PH. Als Antwort erhalt er die IP-Adresse des 
Zugangs-Knotens AR des privaten Hosts PH. Der 
Namensserver NS benachrichtigt den Zugangs-Knoten 
AR daruber, daB der korrespondierende Host CH nach 

5 dem privaten Host PH gefragt hat. Der korrespondie- 
rende Host CH sendet seine IP-Pakete zu der Adresse 
des Zugangs-Knotens AR und der Zugangs-Knoten AR 
weiB nun, daB diese Pakete fur den privaten Host PH 
bestimmt sind. Nachfolgend tauscht der Zugangs-Kno- 

10 ten AR die IP-Pakete zwischen dem privaten und dem 
korrespondierenden Host PH, CH durch das Modifizie- 
ren der Quell- und Ziel-AdreBfelder (src_adresse bzw. 
dst_adresse) der IP-Pakete aus. Zwischen dem 
Zugangs-Knoten AR und dem Namensserver NS wer- 

75 den eine ns_Benachrichtigung(CH,PH) bzw. ns- 
notify(CH,PH) und eine ns_Bestatigung(CH,PH) bzw. 
ns_ack(CH,PH) ausgetauscht. 

[0028] Die einzelnen Schritte werden anhand Fig. 6 
naher erlautert. Insgesamt wird das Verfahren, das hier 

20 als umgekehrtes Maskieren bezeichnet wird, nachfol- 
gend anhand von 11 Schritten beschrieben. 
[0029] Schritt 1: Jeder Host PH in dem privatem 
Netz erhalt einen einmaligen Hostnamen und eine ein- 
malige IPv4-Adresse aus einem privaten IPv4-AdreB- 

25 raum. Der Operator des privaten Netzes laBt die 
Hostnamen fur alie zugreifbaren privaten Hosts PH in 
dem DNS-Namensserver NS registrieren. Fur jeden 
Host PH wird der Hostname zusatzlich zu der IP- 
Adresse des Zugangs-Knotens AR in eine Tabelie Tab 

30 eingesetzt, so daB zu jeder Festlegung eines Hostna- 
mens fur einen privaten Host PH eine IP-Adresse des 
Zugangs-Knotens AR zugeordnet wird, die automatisch 
ausgegeben werden kann. Zusatzlich wird hinter jedem 
Hostnamen ein Eintrag hinzugefugt, um anzukundigen, 

35 falls eine Nachricht bzw. Benachrichtigung zu dem 
Zugangs-Knoten AR bei einer Hostnamen- Festlegung 
gesendet werden soil. Dieser Vorgang wird in Verbin- 
dung mit dem in Fig. 10 dargestellten Beispiel besser 
verstandiich. 

40 [0030] Schritt 2: Ein korrespondie render Host CH 
mochte IP-Pakete zu einem privaten Host PH senden 
und muB daherden dafur verantwortlichen Namensser- 
ver NS nach der IP-Adresse des privaten Hosts PH fra- 
gen. Dies wird durch das Aussenden einer DNS-Frage 

45 zum Namensserver NS durchgefuhrt, der den Hostna- 
men des privaten Hosts PH enthalt, wie dies auch aus 
Fig. 7 mit Blick auf den Pfeil a ersichtlich ist. 
[0031] Schritt 3: Nachdem ein korrespondierender 
externer Host CH eine Auflosungs- bzw. Festlegungs- 

50 frage (dns-Frage) gesendet hat, sendet der Namens- 
server NS eine Benachrichtigung zu dem Zugangs- 
Knoten AR (Fig. 7, Pfeil b). Diese Benachrichtigungs- 
nachricht enthalt die IP-Adresse des korrespondieren- 
den externen Hosts CH und den Hostnamen des 

55 gefragten privaten Hosts PH. 

[0032] Schritt 4: Der Zugangs-Knoten AR bestatigt 
den Empfang der Benachrichtigung (Fig. 7, Pfeil c). . 
Falls , der Namensserver NS die Bestatigung ns_ack 
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nach einer gewissen Zeit nicht empfangt, wiederholt er 
die Benachrichtigung. 

[0033] Schritt 5: Nach dem Empfang der Bestati- 
gung antwortet der Namensserver NS auf die Aufio- 
sungsfrage durch das Senden einer DNS-Antwort, die 5 
die IP-Adresse des Zugangs-Knotens AR enthalt (ver- 
gleiche Rg. 7, Pfeil d). 

[0034] Schritt 6: Nach dem Empfang der Benach- 
richtigung speichert der Zugangs-Knoten AR diese Leit- 
bzw. Routing-information in einer dafur bereitgestellten w 
Datenbank fur eine umgekehrte Maskierung. Ein bei- 
spielhafter Aufbau fur eine solche Datenbank ist in Fig. 
8 dargestellt, wobei in einer ersten Spalte die IP- 
Adresse des korrespondierenden Hosts CH, in einer 
zweiten Spalte der Hostname des privaten Hosts PH is 
und in einer dritten Spalt die private Adresse des priva- 
ten Hosts PH abgespeichert werden. 
[0035] Schritt 7: IP-Pakete, die von der Adresse des 
korrespondierenden Hosts CH aus hereinkommen, wer- 
den durch den Zugangs-Knoten AR entsprechend der 20 
Eintrage in seiner Datenbank zum privaten Host PH 
weitergeleitet. 

[0036] Schritt 8: Der Zugangs-Knoten AR leitet 
jedes hereinkommende IP-Paket zu der tatsachlichen 
IP-Adresse des privaten Hosts PH, wozu er das Ziel- 25 
adressenfeld dst des IP-Paketkopfes modifiziert (ver- 
gleiche Fig. 9, Pfeil b). 

[0037] Schritt 9: IP-Pakete, die durch einen privaten 
Host PH zu einer offentlichen IP-Adresse gesendet wer- 
den, werden stets uber den Zugangs-Knoten AR gelei- 30 
tet (vergleiche Fig. 9, Pfeil c). 

[0038] Schritt 10: Der Zugangs-Knoten AR modifi- 
ziert ein herausge_ hendes IP-Paket durch das Einset- 
zen seiner eigenen IP-Adresse in das QuelladreBfeid 
src des IP-Paket-Kopfteils (vergleiche Fig. 9, Pfeil d). 35 
[0039] Schritt 11: Dieser Paketaustausch mit Hilfe 
einer umgekehrten Maskierung kann beiiebig oft wie- 
derholt werden. Falls uber eine vorgebbare Dauer von 
T1 Sekunden keine weiteren IP-Pakete mehr empfan- 
gen werden, loscht der Zugangs-Knoten AR die Leit- 40 
Information vorzugsweise wieder aus seiner Daten- 
bank. 

[0040] Schritt 1 , der die Registrierung privater Host- 

namen PH beschreibt, ist bei dem beispielhaften Ver- 

fahren erforderlich, fur sich genommen ist das 45 

Registrierungsverfahren jedoch bekannt. 

[0041] Die Schritte 2 und 5, die die Namensfestle- 

gung betreffen, sind ebenfalls standardisierte DNS- 

Festtegungsverfahren. 

[0042] Besonders hervorzuheben sind die Schritte so 
3,4,6 und 7. Nach einer Namensfestlegung benachrich- 
tigt der Namensserver NS den Zugangs-Knoten AR, 
welcher externe Host CH nach der IP-Adresse eines 
privaten Hosts PH im Zustandigkeitsbereich des 
Zugangs-Knotens AR des privaten Netzes gefragt hat. ss 
Dadurch weiB dieser Zugangs-Knoten AR, daB ein kor- 
respondierender externer Host CH IP-Pakete zu einem 
privaten Host PH senden mochte, fur den er zustandig 



8 

ist. Aufgrund der durch den Namensserver NS empfan- 
genen Benachrichtigungen weiB der Zugangs-Knoten 
AR, zu welchem privaten Host PH der korrespondie- 
rende Host CH IP-Pakete senden mochte. 
[0043] Die Schritte 8-10, die das Paketweiterleiten 
betreffen, beruhen auBer mit Blick auf die Funktion, wo 
der Zugangs-Knoten in seiner Datenbank nachsieht, 
um herauszufinden, zu welchem privaten Host das her- 
einkommende IP-Paket weiterzuleiten ist, dem ublichen 
IP-Maskierungsverfahren. 

[0044] Schritt 1 1 , der das Loschen des Datenbank- 
eintrags betrifft, ist ein ebenfalls bislang nicht verwen de- 
ter Schritt. Das Zeitkriterium fur die Auslaufzeit T1 wird 
vorteilhafterweise eingefuhrt, da der Zugangs-Knoten 
AR dadurch ein Kriterium zur Verfugung gestellt 
bekommt, welches der hereinkommenden IP-Pakete als 
das letzte zum SchlieBen der Sitzung anzusehen ist. 
Daher wird T1 vorzugsweise in Abhangigkeit von der 
Zeitbeschrankung bei der Hostnamen-Festlegung 
bestimmt. T1 wird vorzugsweise auf den gleichen Time- 
out bzw. Auslaufzeitwert gesetzt, wie der Auslaufzeit- 
wert fur die Festiegung des Hostnamen, die in der 
Datenbank fur den Namensserver NS definiert ist (ver- 
gleiche beispielsweise Fig. 10). 

[0045] Falls IP-Pakete von einem korrespondieren- 
den Host CH empfangen werden, zu denen es keinen 
Datenbankeintrag gibt, sendet der Zugangs-Knoten AR 
eine Zuruckweisungs-Nachricht zum korrespondieren- 
den Host CH. 

[0046] Bei privaten Netzen mit Einwahloptionen 
wird manchmal eine dynamische Adressierung fur die 
Datenendstationen gewahlt, das heiBt jedesmal, wenn 
auf eine Datenendstation zugegriffen wird, kann diese 
eine unterschiedliche IP-Adresse erhalten. Jedoch 
kann das vorliegende Konzept auch im Falle einer sol- 
chen dynamischen Adressierung verwendet werden. In 
diesem Fall ist dann die Datenbank des Zugangs-Kno- 
tens AR mit der tatsachlichen momentan dynamischen 
IP-Adresse jedesmal zu aktualisieren, wenn sich ein 
Host in das private Netz einwahlt und eine dynamische 
Adresse zugewiesen bekommt Vorteilhafterweise ist 
das vorstehend aufgefuhrte Verfahren sehr einfach 
umsetzbar, da ledigiich zwei bereits existierende Netz- 
einrichtungen hinsichtlich ihrer Funktionalitat zu verbes- 
sern sind, namiich der Zugangs-Knoten AR und der 
DNS-Namensserver NS. Mit dem vorstehenden Verfah- 
ren kann jeder Host CH in einer IP-Umgebung eine 
direkte Verbindung zu irgendeinem Host PH in einem 
fremden privaten Netz einrichten. Dazu muB er ledigiich 
den Hostnamen des privaten Hosts PH wissen, der ein- 
malig festgelegt wird und vorzugsweise uber die 
Lebensdauer des privaten Hosts PH festgelegt bleibt. 
[0047] Das vorliegende Konzept ist jedoch nicht nur 
bei der Kommunikation innerhalb eines paketorientier- 
ten Internets Oder dergleichen anwendbar. Kommunika- 
tionsnetze, wie zukunftige zellulare Mobilfunknetze 
beruhen ebenfalls auf IP-Technologie oder ermoglichen 
deren Anwendung. Da diese Technologie durch Daten- 
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endgerate bzw. im Falle von Funk-Kommunikationssy- 
stemen Mobilstationen verwendbar ist, die uber IP- 
Adressen adressierbar sind, benotigt jede Datenend- 
station eine IP-Adresse, solange eine Verbindung 
besteht. 5 

[0048] Mit IPv4 ist es jedoch beim derzeitigen Auf- 
bau nicht moglich, eine offentliche IP-Adresse fur jede 
von mehreren Millionen Datenendstationen bzw. Mobil- 
stationen zuzuweisen. Daher gewinnt die private IP- 
Adressierung bei der Erorterung der Adressierung in 10 
zellularen Netzen bzw. Funk-Kommunikationssystemen 
zunehmend an Bedeutung und wird wahrscheinlich ver- 
wendet werden, wie dies bei dem 44-ten lETF-Treffen 
mit Blick auf das Mobile- IP-Meeting-Protokoll erortert 
wurde. Da es moglich ist, einen einmaligen Hostnamen is 
fur jede Datenendstation zuzuordnen, Z.B. (Telefon- 
nummer)-<Providemame>.com mit (Telefonnummer) als 
Name des privaten Hosts PH und <Providername> als 
Name des . privaten Netzes, kann das vorstehend 
beschriebene Verfahren fur direkte Zugriffe auf Mobil- 20 
stationen bzw. mobile Datenendstationen in irgendei- 
nem IP-Netz verwendet werden, ist somit also auch fur 
zellulare Netze bzw. die geplanten Mobilfunk-Kommuni- 
kationsnetze standardisierbar. 

[0049] Ein zellulares mobiles Netz, das auf IP-Tech- 25 
nologie beruht, besteht in der Regel aus mehreren 
Funkzugriffsnetzen bzw. Radio-Access-Networks 
(RANs), einem IP-Kernnetz, Gateways und Zugangs- 
Knoten AR, die nachfolgend als UMSC bezeichnet wer- 
den, einigen Arten von Authentications- und Berech- 30 
nungseinheiten und einem DNS-Namensserver NS. 
Der Namensserver NS wird wie vorstehend beschrie- 
ben angepaBt, und der modifizierte Zugangs-Knoten 
AR sitzt in einem UMSC. 

[0050] Eine Mobilstation greift uber das Funknetz 35 
RAN auf deren zellulares mobiles Netz zu. Das Netz 
belegt eine IP-Adresse fur die Datenendstation bzw. 
Mobilstation, wobei die Adresse statisch Oder dyna- 
misch vergeben werden kann. Falls die Adresse dyna- 
misch vergeben wird, ist die Leit-Datenbank innerhalb 40 
des Zugangs-Knotens bzw. UMSC entsprechend zu 
aktualisieren. 

[0051] Beispielsweise werde als Hostname des pri- 
vaten Hosts 1234567.provider.com und dessen stati- 
sche IP-Adresse 192.168.1.2 aus dem privaten IPv4- 45 
Adressraum verwendet. Die offentliche IP-Adresse des 
UMSCs soli 132.23.1.254 sein. Beim Einrichten des 
Netzes addiert der zellulare Operator die Hostnamen 
von seinen mobilen Hosts in seine Namensserver- 
Datenbank und fugt nach jedem Rost einen Eintrag so 
hinzu, um festzulegen, ob eine Anfrage zur AdreBaufid- 
sung des jeweiligen Eintrages dem UMSC bekannt 
gegeben werden soil (Ja/Nein). Fig. 10 gibt ein Beispiel 
einer verbesserten DNS-Namensserver-Datenbank fur 
das Netz 1 32.23. x.x an 55 
[0052] Zur Sicherstellung der Datensicherheit von 
beispielsweise einem Intranet kann in jedem fur dieses 
Verfahren geeigneten Router eine Tabelle bereitgestellt 



werden, in der aile externen Hosts eingetragen sind, die 
eine Verbindung zu einem Host innerhalb des vom 
Zugangs-Knoten kontrollierten Netzes aufbauen durfen. 
[0053] Beim nachfolgenden Beispiel mochte ein 
korrespondierender externer Host mit der offentlichen 
IP-Adresse 129.13.130.13 IP-Pakete zu dem mobilen 
Host MH senden. Der beispielhafte Ablauf wird anhand 
der Fig. 1 1 verdeutlicht und erfolgt mit den Schritten: 

1. Der Internet-Host CH mit der festen offentlichen 
IP-Adresse 129.13.130.13 mochte mit einem mobi- 
len Host MH bzw. einer Mobilstation in Verbindung 
treten. Er kennt lediglich deren Hostnamen (hier 
1234567.Provider.com), so daB er den zugehori- 
gen Namensserver NS nach der AdreBfestlegung 
zu fragen hat. Der Namensserver NS sendet ihm 
die IP-Adresse des Zugangs-Knotens AR (bzw. 
UMSC) 1 32.23. 1 .254, der fur den mobilen Host MH 
verantwortlich ist. 

2. Der Namensserver NS teilt dem UMSC zum Ein- 
tragen in eine entsprechende Tabelle mit, daB ein 
externer Host CH die aufgeloste Adresse eines 
Hosts MH innerhalb der Domain des UMSCs abge- 
fragt und mitgeteilt bekommen hat, was bedeutet, 
daB in der nachsten Zeit Pakete fur diesen mobilen 
Host MH ubermittelt werden. Die Benachrichtigung 
kann beispielsweise in Form einer Nachricht 
ns_notify (129.13.130.13, 1234567.provider.com) 
erfolgen. Der Zugangs-Knoten AR speichert diese 
Information in seiner Leit-Datenbank entsprechend 
dem in Fig. 8 dargestellten Beispiel. 

3. Der korrespondierende Host sendet dann seine 
IP-Pakete zu der Zieladresse des UMSC, das heiBt 
die gesendeten IP-Paket-Kdpfe umfassen 
die Angabe src_adresse=1 29. 1 3. 1 30. 1 3, 
dst_adresse=1 32.23. 1 .254. 

4. Der UMSC erkennt die Quelladresse der herein- 
kommenden Pakete als die Adresse des korre- 
spondierenden Hast und sucht in seiner Leit- 
Datenbank nach dem privaten Host, zu dem die 
Pakete weiterzuleiten sind. Beim Weiterleiten der 
hereinkommenden Pakete andert er den IP-Kopf 
scr_adresse=1 29. 1 3. 1 30. 1 3, 

dst_adresse=1 32.23.1 .254 zu 
scr_adresse=1 29. 1 3. 1 30. 1 3, dst_adresse= 
192.168.1.2 entsprechend dem vorstehenden 
Schritt 8. Der mobile Host bzw. die Mobilstation 
beantwortet die IP-Pakete in einer normalen Art 
und Weise durch das Einsetzen der Adresse des 
korrespondierenden Hast als eine Zieladresse und 
seiner eigenen Adresse als Quelladresse. Beim 
Weiterleiten dieser Pakete modifiziert der UMSC 
die Quelladresse durch das Einsetzen seiner eige- 
nen Adresse, so daB der Kopf der ausgehenden IP- 
Pakete bei diesem Beispiel die. folgende Form 
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annimmt: src_adresse= 132.23. 1.254, 

dst_adresse= 129.13.130.13. 

[0054] Nachdem der UMSC uber eine Zeit T1 , bei- 
spietsweise 10800 Sekunden, von der Adresse 5 
129.13.130.13 keine Pakete empfangen hat, loscht er 
den Leit-Tabelleneintrag J29.13. 130.13 -> 
192.168.1.2". 

PatentansprQche 10 

1. Verfahren zum Verbinden von Einrichtungen (CH) 
eines ersten und eines zweiten paketorientierten 
Kommunikationsnetzes, wobei die Kommunikati- 
onsnetze uber zumindest eine Schnittstelle (AR) 15 
miteinanderverbunden sind, 

dadurch gekennzeichnet, daR 
eine verbindungssuchende Einrichtung (CH) des 
ersten Kommunikationsnetzes eine Verbindung zu 
einer internen Einrichtung (PH; MH) des zweiten 20 
Kommunikationsnetzes aufbaut. 

2. Verfahren nach Anspruch 1 , bei dem 

die zu verbindenden Einrichtungen stationare 
Hosts (CH, PH) und/oder mobile Hosts (MH) ver- 25 
schiedener Kommunikationsnetze sind. 

3. Verfahren nach Anspruch 1 oder2, bei dem 

die Kommunikationsnetze gemaR einem IP-Proto- 
koll gesteuert werden. 30 

4. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

die zumindest eine Schnittstelle (AR) ein Zugangs- 
Knoten des zweiten Kommunikationsnetzes ist, 35 
uber den die interne Einrichtung (PH; MH) angefor- 
dert wird, 

5. Verfahren nach einem vorstehenden Anspruch, bei 
dem *o 
eine interne Adresse des zweiten Kommunikations- 
netzes bei dessen Schnittstelle (AR) unter zusatzli- 
cher Angabe der Adresse der verbindungs- 
suchenden Einrichtung (CH) des ersten Kommuni- 
kationsnetzes angemeldet wird (Schritt 3). 45 

6. Verfahren nach Anspruch 5, bei dem 

• die Adresse der verbindungssuchenden Einrichtun- 
gen (CH) des ersten Kommunikationsnetzes in 
Bezug auf die angemeldete interne Adresse der 50 
internen Einrichtung (PH; MH) des zweiten Kom- 
munikationsnetzes zumindest zeitweilig hinterlegt 
wird. 

7. Verfahren nach Anspruch 5 Oder 6, bei dem 55 
die Adresse der verbindungssuchenden Einrich- 
tung (CH) des ersten Kommunikationsnetzes 
zusammen mit der angemeldeten internen Adresse 



der internen Einrichtung (PH; MH) des zweiten 
Kommunikationsnetzes in einer Zuordnungs- 
Tabelle (Tab), die insbesondere in der Schnittstelle 
(AR) angeordnet ist, hinterlegt wird (Schritt 6). 

8. Verfahren nach einem der Anspruche 5 bis 7, bei 
dem 

die Anmeldung Oder Hinterlegung der Adressen bis 
zu einer Bestatigung durch die Schnittstelle (AR) 
wiederhort (Schritt 4) und/oder nach einer vorein- 
stellbaren Zeit (T1) ohne Aktivitaten zwischen den 
Einrichtungen (CH, PH; CH, MH) geloscht wird 
(Schritt 11). 

9. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

beim Eintreffen einer Information von der verbin- 
dungssuchenden Einrichtung (CH) aus dem ersten 
Kommunikationsnetz durch insbesondere die 
Schnittstelle (AR) des zweiten Kommunikationsnet- 
zes die Zieladresse der Schnittstelle (AR) gegen 
die Zieladresse der internen Einrichtung (PH; MH) 
im zweiten Kommunikationsnetz ausgetauscht wird 
(Schritt 8). 

10. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

nach dem Eintreffen einer Information von der ver- 
bindungssuchenden. Einrichtung (CH) aus dem 
ersten Kommunikationsnetz bei der internen Ein- 
richtung (PH; MH) im zweiten Kommunikationsnetz 
von dieser eine Bestatigung zuruckgesendet wird, 
wobei insbesondere durch die Schnittstelle (AR) 
des zweiten Kommunikationsnetzes die Absender- 
adresse der internen Einrichtung (PH; MH) im zwei- 
ten Kommunikationsnetz gegen die Absender- 
adresse der Schnittstelle (AR) ausgetauscht wird 
(Schritt 10). 

11. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

die verbindungssuchende Einrichtung (CH) im 
ersten Kommunikationsnetz vor dem Verbindungs- 
aufbau zu einer internen Einrichtung (PH; MH) im 
zweiten Kommunikationsnetz bei einem Namens- 
server (NS) nach der Adresse der Schnittstelle 
(AR) des zweiten Kommunikationsnetzes fragt 
(Schritt 2). 

12. Verfahren nach Anspruch 1 1, bei dem 

in dem Namensserver (NS) zu bekannten internen 
Adressen des zweiten Kommunikationsnetzes 
jeweils zumindest eine entsprechende Adresse des 
zweiten Kommunikationsnetzes, insbesondere eine 
Schnittste lien adresse von diesem, eingetragen 
wird oder durch diesen bestimmbar ist (Schritt 1). 

13. Verfahren nach Anspruch 1 1 oder 12, bei dem 
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der Namensserver (NS) zum zweiten Kommunikati- 
onsnetz gehort und/oder vom zweiten Kommunika- 
tionsnetz aus mit ausgewahlten internen Adressen 
von diesem belegbar ist. 

14. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

der Verbindungsaufbau von der verbindungssu- 
chenden Einrichtung (CH) im ersten Kommunikati- 
onsnetz zu der internen Einrichtung (PH; MH) im 
zweiten Kommunikationsnetz einem umgekehrten 
Maskierungsverfahren entspricht. 

15. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

zumindest jede von auBerhalb ansprechbare 
interne Einrichtung (PH; MH) des zweiten Kommu- 
nikationsnetzes eine eigene und einmalige Adresse 
erhatt, wobei die Adressen insbesondere aus 
einem privaten IP-Adre3raum ausgewahlt werden. 

16. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

bei einer externen Anfrage durch die verbindungs- 
suchende Einrichtung (CH) aus dem ersten Kom- 
munikationsnetz in einer Sicherheitstabelle 
nachgeschlagen wird, ob die verbindungssuchende 
externe Einrichtung (CH) zum Zugriff berechtigt ist. 

17. Verfahren nach einem vorstehenden Anspruch, bei 
dem 

die Schnittstelle (AR) eine Zuruckweisungs-Nach- 
richt zur verbindungssuchenden Einrichtung (CH) 
im ersten Kommunikationsnetz ubermittelt, falls IP- 
Pakete von dieser empfangen werden, zu denen es 
keinen Datenbankeintrag gibt 

18. Kommunikationssystem, insbesondere Funk-Kom- 
munikationssystem, zum Ausfuhren eines Verfah- 
rens nach einem der vorstehenden Anspruche mit 

zumindest zwei paketorientierten Kommunika- 
tionsnetzen, die jeweils zumindest eine kom- 
munikationsfahige Einrichtung (CH bzw. PH; 
MH) aufweisen, und 

zumindest einer Schnittstelle (AR), welche die 
Kommunikationsnetze miteinander verbindet. 

19. Kommunikationssystem nach Anspruch 18, bei 
dem 

ein Kommunikationssystem als Subnetz ausgebil- 
det ist. 

20. Kommunikationssystem nach Anspruch 18 oder 
19, mit einer Schnittstelle, insbesondere einem 
Zugangs-Knoten (AR), mit einer Tabefie zum zuge- 
ordneten und zeitweiligen oder dauerhaften Eintra- 
gen einer Adresse von einer verbindungs- 



suchenden Einrichtung (CH) eines ersten Kommu- 
nikationsnetzes und einer von dieser gerufenen 
internen Adresse von einer Einrichtung (PH; MH) 
eines zweiten Kommunikationsnetzes. 
5 • -■ ' 

21. Kommunikationssystem nach einem der Anspruche 
18 bis 20, mit einem Namensserver (NS), in dem 
Informationen uber interne Einrichtungen (PH; MH) 
eines zweiten Kommunikationssystems, ins- 

w besondere intern einmalig vergebene Adressen, 
registriert sind. 

22. Kommunikationssystem nach einem der Anspruche 
18 bis 20, bei dem interne Einrichtungen (PH; MH) 

is stationare und/oder mobile Datenendstationen, ins- 
besondere Hosts (MH), und/oder mobile Funksta- 
tionen sind. 
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IN SOA nameserver.provi0r.com. root.nameserver.provider.com. ( 

1 ; 

10800 Alle 3 Std. auffrischen 
3600 ; Jede Stunde wiederversuchen 
604800; Ablaufen nach 1 Woche 
86400 ); Minimum ttl von 1 Tag 
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